淺談開源軟件法律合規

一、圍繞開源許可證的司法實踐

開源模式經曆幾十年的發展，已成為新興技術領域的主要技術路徑。開源軟件所倡導的“自由共享、開放協作”精神對促進軟件產業快速發展與創新發揮著重要作用。在法律上，開源軟件並非放棄著作權、專利權等知識產權，而是通過開源許可證將相關權利進行有條件許可或讓渡，開源許可證對於保障開源生態的蓬勃發展至關重要。對開源許可證缺乏認識和尊重將使參與者面臨法律風險，近日，國內法院作出了一個圍繞開源許可證的重要判決（2019）粵03民初3928號，該判決對與開源許可證相關的多個法律問題進行了界定，企業在對開源軟件進行合規審查時有必要予以關注。

1、開源協議（GPL3.0）的法律效力

開源許可證已經成為國際行業內共同認可和遵守的契約文本，履行相關義務也是誠實信用原則的體現。其一，協議的內容具備合同特征。GPL3.0協議屬於發生私法上效果的意思表示，而意思表示是民事法律行為的核心要素，因此GPL3.0協議是一種民事法律行為。該協議授予用戶複制、修改、再發布等權利，實際上在授權人和用戶間形成了權利變動，屬於設立、變更、終止民事權利義務關系的民事法律行為。其二，協議的形式亦具備合同特征。GPL3.0協議以電子文本方式表現其內容，而電子文本是一種有形的表現形式，屬於以書面形式訂立的合同。

因此，GPL3.0協議具有合同性質，屬於我國《民法典》調整的範圍。

2、提起訴訟是否需要所有貢獻者授權

其一，原告作為項目人已將源代碼在Github網站上公開發布，此系原告主張權利的基礎。其二，Github網站的用戶對涉案源代碼作出修改、補充後，若要將相關內容並入項目人的“主分支”中，則需符合項目人的開發意圖並由其做出取舍。本案項目人對“主分支”源代碼的形成起到了決定作用，貢獻者的內容未對原告享有涉案軟件著作權產生實質性影響。其三，貢獻者選擇在GPL3.0協議的項目中上傳自己的源代碼，貢獻者亦將按照GPL3.0協議許可其貢獻，即視為同意將貢獻內容許可給項目人及其他用戶使用。最後，開源項目的貢獻者人數眾多，若開源項目的起訴維權需經全體貢獻者一致同意或授權，實則導致維權行為無從提起。

3、被訴行為是否侵害著作權

因此，被告對項目實施的複制、修改、發布等行為，因失去權利來源而構成侵權。

二、開源軟件的曆史及文化

對開源軟件法律合規的討論離不開對開源生態曆史和文化的了解。在計算機誕生後的相當長一段時期內，軟件作為硬件的附屬品存在，功能有限並且移植性和靈活性也比較差，用戶在購買計算機硬件的同時也獲得了運行於其上的軟件的源代碼，此時的軟件是自由的、免費的、開源的。

隨著PC的廣泛應用和軟件產品化，軟件在計算機技術和產業中的存在比重不斷加大，催生了人類曆史上信息化的第一波浪潮，軟件開始正式成為一個獨立產業，並從此開始應用於幾乎所有領域，以微軟公司為代表的軟件巨頭逐漸成為IT產業的主導者。閉源軟件在此階段誕生，僅創建該代碼的原始作者有權合法複制、修改、更新和編輯源代碼，閉源軟件會限制最終用戶對應用可以執行的操作，防止用戶修改、共享、複制或重新發布源代碼。

1983年，Richard Stallman等人站到了閉源軟件的對立面，認為軟件應該回歸計算機誕生之初的理想世界，在其自由精神的激勵下提出了“自由軟件”，並創建了以GPL方式發布的GNU項目和FSF（自由軟件基金會）。CopyLeft的概念隨之誕生，它的目標是允許所有的用戶可以自由地重新發布或修改GNU軟件，同時必須保留軟件所具有的自由特性，GPL是第一個普遍使用的Copyleft許可證。

GPL對Linux的系統的成功至關重要，它向參與項目的程序員保證他們的貢獻將有益於整個世界並保持自由。但自由軟件的追求過於理想化，帶有“傳染性”的特點，不利於更廣泛的推廣和接受。1998年“開源軟件”的概念誕生，它大大擴展的“自由軟件”的範圍，配有各種各樣的許可證，甚至可供商業使用、修改和銷售，而不必將修改後的源代碼公開。

 開源模式展示了其強大的生命力，伴隨著互聯網的發展取得了井噴式的繁榮。昔日稱“開源是癌症”的微軟也喊出了“Microsoft Love Linux”的口號；到2016年，微軟已成為全世界最大的開源代碼托管平臺GitHub貢獻榜的第一名，不止於此，微軟於2018年直接以75億美元收購了GitHub。

可以看出，“自由軟件”是一種“羊毛出在羊身上”的模式，使用開源代碼的代價是在此基礎之上的“二次創作”也必須開源，這看似公平的“交易”卻把絕大部分的商業公司排除在外，甚至諸多公司規定嚴禁使用開源代碼，原因是商業公司出於各種考量不願將其源代碼開源。因此，這種模式限制了開源發展的空間。而“開源軟件”模式則采用“羊毛出在豬身上”的模式，寬松的許可證允許源代碼用於各種場景，即使用於商業產品也幾乎沒有代價，這種開放的模式非常友好，使得開源終於融入了商業世界，得到了大型科技公司的普遍支持。隨著互聯網的普及，技術共享極大地促進了相關產業的發展，開源軟件更是呈現出井噴式的繁榮。

三、開源軟件涉及的知識產權種類

開源軟件是智力勞動的成果，其強調的自由分享不是否認知識產權的存在，而是依賴於現有知識產權法律體系的保護。事實上，開源軟件正是通過開源許可證的形式對其所享有的特定種類知識產權進行授權許可，以實現不同的開源策略。開源軟件涉及的主要知識產權種類包括如下三類。

1、著作權：

 開源軟件的著作權人仍享有複制權、發表權、修改權、署名權、保護作品完整權、獲得報酬權等權利，其軟件著作權自開發完成之日自動產生，不過其通過許可的方式將其中的某些權利如複制權、修改權等授權給不特定公眾。

2、專利權：

計算機軟件具有“作品性”和“技術性”的雙重屬性，著作權保護的是作者創作思想的表達，而專利權保護的是該創作背後的技術構思。專利申請人就軟件中的技術方案申請專利並獲得授權之後即獲得專利權，專利具有絕對的排他權，在專利有效期內，權利人有權禁止他人實施其專利技術。由於專利的保護範圍與軟件源代碼無關，開源軟件所涉及技術方案的專利權人往往另有其人，例如微軟長期對搭載Android系統的產品收取專利許可費。因此，開源軟件的背後可能存在隱性專利持有人。

3、商標權：

商標保護的目的是通過保證產品或服務的來源從而保護消費者，為了防止利用貢獻者的相關商標“搭便車”的行為，部分開源許可證明確約定即使使用了開源軟件，也不代表可以商業性的使用貢獻者或著作權人等的任何標識。除法律規定的極有限的合理使用外，使用商標的前提都必須獲得明確授權，在沒有獲得開源許可證明確約定的前提下，商業性使用他人合法的商標存在侵權風險。

四、深入理解開源許可證

開源生態的參與方包括開源貢獻者、開源基金會、開源社區、開發者、項目托管網站等。開源許可證是促成多方合作、維系開源生態的根本。任何貢獻者都可以編寫一份自己的許可證，但在開源發展了二十餘年後的今天，有上百種廣泛使用的標準許可證可供選擇，標準化許可證降低了各方參與開源項目的門槛，更有利於項目的推廣。不同開源許可證賦予參與者的權利和義務不盡相同，法律風險點及合規難易程度也不同，深入理解開源許可證是做到開源合規的關鍵，法務需要深入理解貢獻者許可了哪些權利、保留了哪些權利、額外有哪些約定等關鍵條款。一般來講，對於開源參與者來說，開源許可證根據其對權利義務的平衡，按照寬松程度分為兩類或三類，本文按照兩類梳理為：

1、寬松型許可證

2、Copyleft型許可證

不同的許可證代碼複用條件、司法管轄限制、專利授權限制均不相同，且廣泛使用的主流開源許可證均是采用英文撰寫的（OSI也已認證了來自中國的木蘭開源許可證，許可證內容以中英文雙語表述，中英文版本具有同等法律效力），國內傳播的部分解析也並不甚精確，在進行權利義務確認時還是應當標準文本為準（OSI認證的開源許可證請見https://opensource.org/licenses）。

應當注意的是，同一許可證的不同版本條款往往會發生變化，同一開源項目的不同版本也有可能更換許可證，例如，Facebook曾將其React項目的許可證更換為BSD+Patent，在此許可證下如果獲取者開始對Facebook提起專利侵權訴訟，則包括專利許可在內的開源許可終止，這直接導致了諸多公司棄用React開源軟件以規避可能帶來的風險。

在使用單一開源項目時期開源許可證是唯一確定的，但當把不同開源許可證的代碼組合在一起形成一個項目時會遇到許可證兼容的問題。許可證兼容問題是由於不同許可證的許可條款的沖突造成的，例如，Copyleft型許可證大多要求再發布時必須遵循原許可證，所以此類許可證之間很難兼容；Copyleft型許可證下的項目與寬松型許可證下的項目合並時，更會導致寬松型許可證下的代碼被迫承擔開源義務的問題。

五、正確開啟開源活動

開源軟件風控是一件長期的系統性工程，企業在涉及開源的工作中應當加強風控意識，合法合規的參與開源活動。在開源軟件引入和對外開源的過程中做到全流程管理，包括了開源的審批、獲取與使用的正式流程，以及發布開源軟件或經開源許可證授權的軟件，開源合規體系需要技術、法務、采購市場等多部門協同運作，通過IT團隊掃描源代碼以確定其來源及許可證等信息後，法務團隊對許可證進行識別和審查是必要的步驟。

首先，在深入理解開源許可證的基礎上，根據項目的使用場景進行評估，按照軟件的用途、目的、市場等情況判斷引入開源軟件是否合規。例如，雖然GPL是Copyleft型許可證，但GPL的約束生效的前提是“發布”軟件，即使用了GPL成分的軟件通過互聯網或光盤release軟件，就必須明示地附上源代碼，並且源代碼和產品也受GPL保護。這個“發布”的場景就是關鍵，如果不“發布”軟件也就不承擔義務，使用GPL組件編寫一個Web系統，並通過系統提供在線服務則不構成“發布”。而AGPL許可證則增加了對此做法的約束，AGPL許可證下的項目即使只提供在線服務也需開源。

其次，在立項初期規劃軟件架構將比遭遇法律風險時進行修正花費更小的代價。例如Android為了達成商業上的應用，通過規避對庫的調用來避免整個系統受到Linux 內核GPL許可證的傳染，為 GPL 下的 Linux 如何與商業社會並存與共贏提供了一個成功的範本。

最後，專利所保護的技術創新不但涵蓋將要開源的代碼，還包括采用其他代碼表達的相同技術方案，能夠加強對技術成果的保護。企業在參與軟件開源的同時，仍然有必要利用專利來保護自身的技術創新，維持核心競爭力。例如，Google在其開源機器學習平臺TensorFlow的技術方案中就布局了多項專利。

開源發展到今天，已經成為信息技術領域的主流開發和創新模式。新興技術領域如雲計算、大數據和人工智能等領域，已廣泛采用開源模式實現開發、共享和創新。理解開源遊戲規則，積極參與開源生態，“站在巨人的肩膀上”，將有效提升企業科技競爭力，並通過回馈開源產生更大的社會價值。